Kaip atlikti AWS saugos nuskaitymą ir konfigūracijos stebėjimą?

AWS („Amazon Web Services“) teikia patikimą debesies platformą, skirtą priglobti jūsų programą, infrastruktūrą, tačiau saugumas yra kažkas, ką turite pasirūpinti savimi.


Yra daug incidentų, kai užpuolikas nulaužia AWS sąskaitą ir piktnaudžiauja tuo savo tikslu ar tiesiog savo malonumui.

Aš radau šį įrašą Quora, kur yra vartotojas AWS sąskaita buvo nulaužta ir ji gavo 50 000 USD sąskaitą!

Vieno slapto informacijos nutekėjimas gali jums brangiai kainuoti ir pakenkti jūsų reputacijai. Taigi kaip užtikrinti, kad priėmėte viską būtini AWS paskyros apsaugos veiksmai?

Vienas iš būdų, kuriuos galite padaryti, yra laikytis pramonės saugos gairių rankiniu būdu, o tai užima daug laiko ir yra linkusi į žmogaus klaidas. Arba galite naudoti šią „SaaS“ (programinė įranga kaip paslauga) automatiškai patikrinkite, ar jūsų AWS platformoje nėra saugumo spragų ir netinkamos konfigūracijos.

Pastaba: Žemiau esantis pažeidžiamumo skaitytuvas yra skirtas konkrečiai „AWS Cloud“, o ne svetainei ar žiniatinklio programoms.

Panagrinėkime, kokias galimybes turime …

AWS konfigūracija

AWS konfigūracija yra efektyvus išteklių, esančių jūsų AWS aplinkoje, konfigūracijų įvertinimo, įvertinimo, fiksavimo, audito įrankis. Tai supaprastina saugumo analizę, atitikties auditą, operatyvinius trikčių šalinimus ir pakeitimų valdymą.

Pagrindinės savybės yra;

  • Teikti nuolatinį išteklių konfigūracijų stebėjimą, vertinimą ir registravimą.
  • Leidžia atrasti išteklius, įrašyti konfigūracijas savo AWS aplinkoje ir saugoti svarbią informaciją apie jų pakeitimus ir ištrynimus..
  • Automatizuoti įrašytų AWS išteklių konfigūracijų vertinimą atsižvelgiant į numatomas vertes.
  • Greitai pašalinkite operacines problemas, nustatydami naujausius išteklių konfigūracijos pakeitimus, sukeliančius šias problemas.
  • Palaiko pokyčių valdymo procesus stebėdamas sukurtus, atnaujintus ir ištrintus išteklius, tuo pačiu pranešdamas apie bet kokius pakeitimus.

Debesų saugotojas

Debesų saugotojas yra lankstus atvirojo kodo taisyklių variklis, skirtas valdyti AWS debesies išteklius ir paskyras, kad būtų užtikrintas saugumas ir politikos laikymasis. Tai leidžia valdyti ir optimizuoti AWS debesies aplinkos apsaugą, išlaidas ir valdymą.

Pagrindinės debesies saugotojo savybės

  • Teikti atitikties tikrinimus realiuoju laiku ir pranešti apie pažeidimus.
  • Tai leidžia valdyti išlaidas tvarkant nepanaudotus ir ne darbo metu išteklius.
  • Lankstus diegimas, leidžiantis paleisti įrankį egzemplioriuje, lokaliai ar be serverio.
  • Gebėjimas valdyti vartotojus ir vykdyti saugos politiką AWS debesies aplinkoje
  • Sujungti keletą funkcijų į lankstų, lengvą įrankį su vieninga metrika ir ataskaitų teikimu.

Debesų žemėlapis

Debesų žemėlapis yra atvirojo kodo įrankis, leidžiantis analizuoti ir kurti interaktyvų turto, paslaugų ir kitų komponentų, esančių jūsų AWS aplinkoje, vizualizaciją.

Paprastai šis įrankis leidžia kūrėjams patikrinti ir suprasti jų sukurtos aplinkos tipą. Tai atliekama renkant duomenis iš jūsų AWS paskyrų ir paverčiant juos naršyklės prieinamu formatu.

Debesų žemėlapis„Cloudmapper“ vizualizacijos vaizdas: Duetas

Paprastai „Cloudmapper“ analizę pateikia AWS debesies aplinkos tinklo diagramų pavidalu. Vaizdinis pateikimas leidžia suprasti savo paskyras, jų sąsajas su debesies ištekliais, taip pat nustatyti, ar nėra netinkamos konfigūracijos ar kitų problemų.

Tai leidžia jums

  • Peržiūrėkite AWS paskyros sudėtingumą, dydį ir regionus, kuriuos ji aptarnauja, ir tt.
  • Sukurkite išteklius, kurie galėtų susisiekti su kiekvienu aplinkoje
  • Atlikite saugos auditą ir lengvai pasidalykite analizės informacija.
  • Nurodykite viešai skelbiamus išteklius

Debesų ataskaitos

Debesys praneša iš „Tensult“ yra node.js pagrindu sukurtas atvirojo kodo įrankis, skirtas surinkti ir analizuoti platų informacijos spektrą iš įvairių debesies komponentų. Įrankis palyginti rezultatus su geriausia praktika.

Tada jis sugeneruoja ataskaitas, kurios paprastai yra HTML, CSV, JSON ar PDF, kad būtų parodytos skirtingos AWS paslaugos ir geriausia praktika, kurios turėtumėte laikytis. Čia taip pat nurodytos jos nustatytos problemos ir jų poveikis jūsų paslaugoms.

Debesų ataskaitos

HTML ataskaitas paprastai galima pasiekti per interneto naršyklę, o JSON, CSV ir PDF failai saugomi aplanke. Kiekvienas iš jų turi laiko žymę, kad būtų galima lengvai identifikuoti ir pasiekti, atliekant kelis nuskaitymus.

„AWStealth“

„AWStealth“ yra sauga, kurią įrankių komandos naudoja norėdamos rasti privilegijuotiausius subjektus AWS debesies aplinkoje. Skenavimo rezultatai rodo, kad vartotojai turi pernelyg didelius, rizikingus ar neskelbtinus leidimus. Ir tai leidžia saugos komandoms nustatyti privilegijuotas paskyras, kurių reikia tinkamai apsaugoti nuo galimų išpuolių ir išnaudojimo.

Tipiški AWS subjektai, turintys jautrias privilegijas, kurios turėtų būti radaruose, yra tiesioginiai administratoriai ir rizikingi šešėliniai administratoriai.

„AWStealth“ rezultatai

Taigi „AWStealth“ leidžia saugos komandoms užkirsti kelią grėsmėms, kylančioms dėl šešėlinių administratorių ir kitų privilegijuotų paskyros pažeidžiamumų..

„Salesforce Policy“ tarnyba

Politikos kontrolė yra AWS IAM privilegijų valdymo įrankis. Jis turi IAM mažiausių privilegijų politikos generatorių, audito mechanizmą ir analizės duomenų bazę. Priemonė sudaro duomenų bazės lenteles pagal AIM dokumentus apie išteklius, veiksmus ir sąlygų raktus. Tuomet šiuos duomenis jis naudoja kurdamas IAM mažiausiai privilegijuotas strategijas.

Politikos stebėtojų IAM privilegijų politikos generatorius

Pabrėžia

  • Supaprastina saugumu pagrįstos IAM politikos rašymą
  • Apribokite saugos pažeidimo poveikį, nes užpuolikas, kuris prie sistemos prisijungia naudodamas vartotojo kredencialus, turės tik mažiausias privilegijas, negalinčias atlikti administracinių užduočių..
  • Automatiškai ir lengvai sukurkite saugias IAM strategijas, todėl pašalinami nuobodūs rankiniai bandymai, kuriems atlikti reikalinga aukštesnė techninė kompetencija.

Komisaras

Komisaras yra išsamus tikrinimo ir analizės įrankis, padedantis stebėti ir kontroliuoti jūsų AWS debesies platformos išlaidas. Atvirojo kodo išlaidų optimizavimo įrankis gali apžvelgti debesų platformą ir patikrinti, ar nėra įvairių konfigūracijos ir išlaidų problemų. Taip nustatomos visos paslėptos išlaidos ir pateikiamos rekomendacijos, padėsiančios sutaupyti ir neviršyti biudžeto.

Komisaras debesų aplinkos inspektorius

Pagrindiniai bruožai

  • Tai suteikia galimybę analizuoti ir valdyti AWS platformos naudojimą, sąnaudas, saugą ir atitikimą vienoje vietoje realiu laiku..
  • Suteikia visų jūsų naudojamų paslaugų matomumą
  • Identifikuokite ir spręskite AWS konfigūracijų ir aplinkos pažeidžiamumus bei atitikties problemas.
  • Gaukite visų paslaugų matomumą ir tai, kaip valdyti išlaidas ir maksimaliai padidinti IG.

Svetimas skliautas

„Alien Vault USM“ (Unified Security Management), vienas iš SIW (saugos informacijos ir įvykių valdymo) AWS sprendimo rinkos lyderių.

USM yra viena saugumo stebėjimo platforma, skirta įvykių matomumui užtikrinti, kad galėtumėte visiškai valdyti AWS debesį ir valdyti riziką.

Kai kurios svarbiausios įmontuotos savybės yra:

  • Stebėjimas & perspėjimas dėl S3 & ELB žurnalai, „CloudTrail“, failo vientisumas, VPC srautas
  • Įvykio koreliacija
  • Turto atradimas naudojant tinklą, API, programinę įrangą & tarnyba
  • Pažeidžiamumo tinklo, debesies nuskaitymas & infrastruktūra
  • Įsibrovimų aptikimas debesyje, tinkle, pagrindiniame įrenginyje

Teikia „Alien Vault“ veiksmais grįsta žvalgybos informacija, kurį maitina OTX (atviros grėsmės žvalgyba). Tai veikia su „Amazon“ bendros atsakomybės modeliu. Su pagalba Vietiniai jutikliai, galite aptikti įtartiną egzempliorių, naują vartotoją, susikurti, pakeisti saugos grupę ir tt.

„CloudSploit“

„CloudSploit“ gali aptikti šimtus grėsmių AWS paskyroje, naudodamas automatinį saugos nuskaitymą ir konfigūracijos stebėjimą.

Galite naudoti „CloudSploit“ kiekviename AWS regione. Tai ne tik teikia nuskaitymo rezultatus, bet ir rekomendacija išspręsti problemas.

„CloudSploit“ pasiūlymai API, kuris yra naudingas, jei norite integruoti saugos nuskaitymą į savo programą. Gerai tai, kad jums nereikia įdiegti jokio agento savo serveryje, kad būtų galima stebėti.

Galite tai pradėti NEMOKAMAI nuskaitymams pagal pareikalavimą. Ir jei jūs ieškote automatinio nuskaitymo, rizikuojate rasti el. Laiškus, realaus laiko įvykių srautus ir t. T., Tada turite už tai sumokėti.

Skyhigh

Skyhigh, teikti išsamią AWS infrastruktūros saugumo stebėseną, auditą, laikymąsi ir taisymą.

Kai kurie iš esminių funkcijos iš Skyhigh yra:

  • Visas vartotojo veiklos audito seka
  • Aptikti viešai neatskleistą informaciją, pažeistas sąskaitas
  • Atitikties, vartotojo leidimų ir saugos konfigūracijos auditas
  • Vykdykite duomenų praradimo prevencijos politiką
  • Debesų aktyvumo stebėjimas
  • IAM, paskyros prieiga, vartotojo elgsenos analizė
  • Integracija su SIEM ir IDM
  • Kelių pakopų ištaisymas

Tai palaiko teismo ekspertizę ir automatiškai įtraukia grėsmių sprendimo duomenis į savarankišką mokymąsi, kad būtų galima geriau nustatyti aptikimo tikslumą.

„Qualys“

„Qualys“, vienas iš pramonės lyderiai svetainės pažeidžiamumo skaitytuvo platformoje tinklas suteikia visišką AWS debesies matomumą, kad būtų galima apsaugoti ir kompiliuoti nuo vidaus ir išorės strategijų.

„Qualys“ teikia debesų agentą, kurį galima įdiegti EC2 arba jo šaltinyje į AMI, kad būtų galima automatiškai surasti, klasifikuoti, stebėti ir pašalinti pažeidžiamumą..

„ScoutSuite“

„ScoutSuite“ yra python pagrįstas atvirojo kodo įrankis, skirtas AWS aplinkos apsaugos laikysenai peržiūrėti. Jis nuskaito „CloudTrail“, S3, AMI, EC2 ir kt. Duomenis ir pateikia juos HTML formatu.

Rizikos elementai yra klasifikuojami automatiškai ir atitinkamai pažymimi kaip pavojus ir įspėjimas atitinkamai pagal raudoną ir geltoną spalvas.

Įspėjimo logika

Pagerinkite savo AWS saugos laikyseną naudodami „Alert Logic Cloud Insight“. Įspėjimo logika gali patikrinti visos krūvos infrastruktūrą, įskaitant tinklą, atvirojo kodo ir įmonės programinę įrangą daugiau nei 90000 žinomų pažeidžiamumų.

Kai kurie esminiai „Alert Logic“ raktai galimybes yra:

  • Vizualinis topologijos žemėlapis, kad būtų galima greičiau nustatyti prioritetus
  • Pataisyti prioritetus atsižvelgiant į pažeidžiamumo laipsnį
  • Stebėkite tobulinimo tendencijas
  • Lengva integruoti su „SecOps“ & „DevOps“ naudojant RESTful API
  • Išsamios agentų patikros

AWS Patikimas patarėjas

Sąrašas nebus išsamus, jei jis nebus paminėtas AWS Patikimas patarėjas, realiojo laiko vadovas, skirtas pagerinti saugumą, sumažinti išlaidas, laikantis geriausios AWS praktikos.

Išvada

AWS suteikia pagrindinės infrastruktūros apsaugą, bet ką jūs diegiate, sukonfigūruokite jūsų atsakomybė. Tikiuosi, kad aukščiau išvardytas AWS saugos nuskaitymo sprendimas jums padės saugokite AWS debesies aplinką & taupus.

ŽENKLAI:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map